CDL POA e Rede de Entidades Parceiras esclarecem dúvidas sobre a LGPD

A Rede de Entidades Parceiras e a CDL POA, por meio de uma Live, esclareceram aspectos essenciais para a aplicação da Lei Geral de Proteção de Dados, a LGPD (Lei 13.709 de 2018). Os pontos principais da conversa, em que estiveram a gestora da jurídica, Virgínia Menezes, e o DPO e especialista em qualidade da CDL POA, Ricardo Ribeiro, podem ser conferidos a seguir.   

Para se adequar à LGPD, após uma leitura detalhada da lei, os especialistas recomendam que todas as áreas das empresas se envolvam no processo.  O primeiro passo, fortemente indicado, é que a organização inventarie todos os seus dados tratados. A seguir, o passo a passo indicado é avaliar o nível de proteção de dados; a conscientização de toda equipe quanto à importância e à forma de se se cuidar dos dados; o investimento em segurança de dados; e, por fim; o controle contínuo dos processos e do nível de proteção dos dados tratados pela empresa.   

Histórico  

Desde 1995, a União Europeia já apresentava diretivas sobre o tratamento de dados, o que gerou a GDPR, Lei de Proteção de Dados, que entrou em vigor em 2018, na Europa. Na mesma época, no Brasil, já havia o encaminhamento deste tema e que foi acelerado a fim deo País conseguir se equiparar à lei europeia, sem prejuízo às relações comerciais. No Brasil, em 2010, houve uma consulta pública que gerou, em 2012, o primeiro projeto de lei sobre o tema. Em 2014, foi lançado o Marco Civil da Internet e, em 2018, foi criada a Lei 13.709 que instituiu Autoridade Nacional de Dados, que entrou em vigor em setembro de 2020. As penalidades entraram em vigor em 18 de agosto de 2021.  01

Princípios fundamentais  

A LGPD dispõe sobre a proteção de dados pessoais de pessoas físicas, inclusive nos meios digitais, tratados por pessoas físicas ou jurídicas, de direito público ou privado, com o objetivo de proteger direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa física. É importante ressaltar que a lei não proíbe o uso de dados de pessoas físicas, mas ela regula esse uso. A LGPD protege o dado identificado ou identificável, que faz chegar àquela pessoa.  

A lei deve ser cumprida por toda e qualquer pessoa física ou jurídica (pública ou privada) que realize tratamento de dados de pessoa física, independentemente do meio, do país de sua sede ou do país em que estejam localizados os dados. Desde que o tratamento tenha sido realizado no Brasil e tenha por objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados seja de indivíduos localizados no território nacional.  

Os princípios que regem a LGPD são importantes inclusive para entender, dentro das próprias organizações, quando se analisa os tratamentos de dados e como fazer para estar totalmente de acordo com a legislação. São eles:  

Finalidade – propósitos legítimos, específicos, explícitos e informados.  

 Adequação – Compatível com as finalidades  

Necessidade – Utilização (apenas) de dados estritamente necessários.  

Livre acesso – Acesso ao tratamento e à integralidade dos dados.  

Qualidade dos dados – Dados exatos, claros, relevantes e atualizados  

Transparência – Informações claras e precisas aos titulares  

Segurança – Medidas técnicas e administrativas aptas a proteger os dados pessoais.  

Não discriminação – Não utilização para fins discriminatórios, ilícitos ou abusivos  

Conceitos  

Para uma melhor compreensão da lei, os especialistas detalharam alguns termos muito utilizados no documento, a ver:  

 Dado pessoal:  é informação relacionada a pessoa natural identificada ou identificável. Por exemplo, nome, telefone pessoal, documentos CPF, RG, PTPS, PIS etc, endereço, e-mail, dados de localização, histórico de compras etc.  

Dado pessoal sensível: é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicado ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biomédico, quando vinculado a uma pessoa natural.  

Tratamento de dados: é toda a operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, difusão ou extração. Neste caso, os especialistas jurídicos recomendam que se evite a coleta ou o arquivamento de um dado não necessário. Se não tem obrigação legal de manter, melhor descartar, porque, em caso de vazamentos, haverá uma responsabilização da empresa.  

Dados anonimizados: é o dado relativo ao titular que não possa ser identificado. Não são protegidos pela LGPD, pois não identificam de forma direta ou indireta o seu titular. A anonimização é um dos procedimentos recomendados pela LGPD para assegurar proteção aos dados pessoais, devendo ser utilizada em seu tratamento.  

Pseudoanonimização – Quando é possível reverter a anonimização. É protegido pela LGPD, pois identifica o seu titular. É o caso da criptografia. Vale destacar que a criptografia significa que a empresa se preocupou com o anonimato do dado, sendo um investimento válido e recomendado.   

Exceções  

Existem exceções à aplicabilidade da LGPD, quando o tratamento dos dados for realizado por pessoas físicas para fins particulares e não econômicos e para fins exclusivamente jornalísticos ou acadêmicos. Realizado para a segurança pública, defensoria nacional, segurança do Estado; para a atividade de investigação e repressão de infrações penais ou quando o dado for anomizado.   

ANPD – Autoridade Nacional de Proteção de Dados   

Órgão da Administração Pública Federal com autonomia técnica e decisória, vinculada à Presidência da República. Com o Decreto 10.474 de 28.08.2020, a ANPD foi criada com 36 cargos, sendo 16 em comissão remanejados e 20 funções comissionadas do Poder Executivo. A ANPD poderá editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto a prazos, para microempresas, EPPs, startups e empresas de inovação, para adequação à LGPD. Ainda não existe jurisprudência em relação à lei, mas há casos julgados por vazamento de dados. E, na Europa, já existem muitas penalidades bastante altas.   

As sanções previstas pela LGPD são eliminação de dados pessoais, bloqueio do tratamento de dados, multa de até 2% do faturamento do grupo no Brasil (teto de R$ 50 milhões por infração); multa diária; advertência; publicização da infração; suspensão parcial ou total do funcionamento do banco de dados por seis meses, prorrogável; proibição parcial ou total do exercício de atividades.  

Quem é o DPO  

O DPO, sigla para Data Protection Officer, é o encarregado de dados de uma organização. De acordo com a LGPD, toda organização controladora de dados tem a obrigação de ter DPO. A identidade e o conato do DPO devem constar na página da empresa, ele deve ser o facilitador entre a empresa e a ANDP. É importante dizer que não é necessário contratar um funcionário para ser exclusivamente DPO, pode ser um funcionário já existente e, inclusive, pode ser física ou jurídica.   

Data

01 setembro 2021

Compartilhe